پس از انتشار گسترده بدافزار استاکسنت و آلودهسازی تعداد زیادی از رایانهها در سراسر ایران و جهان، مسائل مرتبط با امنیت اطلاعات در حوزه صنایع اهمیتی دو چندان یافته است. مطالعه بیشتر رفتار و خصوصیات بدافزار استاکسنت و شناخت قابلیتهای تخریبی آن (که میتوانند نمود فیزیکی و خارجی داشتهباشند) نشان داده است که جدی نگرفتن مبحث امنیت اطلاعات در حوزه صنعت میتواند صدمات جبرانناپذیری به این بدنه وارد آورد. مرکز تخصصی آپا دانشگاه صنعتی اصفهان یکی از مراکز فعال و پیشرو در زمینه امنیت شبکههای اتوماسیون صنعتی است. عمدهترین خدماتی که مرکز تخصصی آپا در این حوزه انجام میدهد عبارتند از:
خدمات مشاوره در طراحی و پیادهسازی امن
حوزهی امنیت سیستمهای کنترل صنعتی به دلیل ماهیت میان رشتهای خود موجب شده تا کمتر کسی آنگونهکه باید به آن بپردازد. از این رو بسیاری از متخصصان سیستمهای کنترل صنعتی در زمان طراحی، پیادهسازی و استقرار شبکههای صنعتی، نکات و دغدغههای امنیتی را نادیده میگیرند. مرکز تخصصی آپا دانشگاه صنعتی اصفهان با تربیت نیروهای کارآمد در این حوزه، رصد آخرین رخدادهای امنیتی و انجام فعالیتهای تحقیقاتی، شناخت کاملی از روشهای توسعه و پیادهسازی امن بهدست آورده است.
بهطور کلی خدمات مشاورهای که این مرکز میتواند در اختیار مخاطبان خود قرار دهد به شرح زیر است که پس از ارائه هر خدمت گواهینامه مربوطه برای مخاطب صادر میگردد:
- مشاوره معماری و ساختار: انتخاب معماری غلط در پیادهسازی و در نظر نگرفتن نیازمندیهای امنیتی در آن، از جمله متداولترین عوامل حملات سایبری در زیرساختهای صنعتی است. مرکز تخصصی آپا دانشگاه صنعتی با بررسی انواع معماریهای موجود و استخراج روشهای امن سازی میتواند مشاورههای لازم را در فاز طراحی و انتخاب معماری قرار دهد.
- مشاوره تجهیزات و زیرساخت: بسیاری از شرکتهای توسعه دهنده هنگام استفاده از تجهیزات و پروتکلهای ارتباطی به دلیل آنچه ملاحظات کارایی عنوان میشود مسائل امنیتی آن را در نظر نمیگیرند. همچنین هنگام ضرورت استفاده از یک پروتکل یا تجهیز خاص، روشهای استفاده امن را درنظر نمیگیرند. مرکز تخصصی آپا با شناخت کامل مسائل امنیتی در تجهیزات و پروتکلهای ارتباطی راهنماییهای لازم را جهت انجام پیادهسازی و یا توسعه امن ارایه خواهد داد.
- مشاوره پیکربندی امن: از جمله مشکلات موجود در حوزهی امنیت سیستمهای اتوماسیون صنعتی این است که ماهها و گاهی تا سالها پیکربندی قرار گرفته بر روی شبکه مورد تغییر و بازبینی قرار نمیگیرد. لذا یک پیکربندی دارای مشکلات امنیتی میتواند به طور مداوم و مستمر منجر به انجام حملات سایبری گردد. این مرکز میتواند مشاورههای لازم را در انجام پیکربندی امن ارایه نماید.
- تعریف قوانین: وجود قوانین و سیاستهای استفاده و دسترسی کاربران از جمله مهمترین راهکارهای جلوگیری از رخداد حملات سایبری در سیستمهای کنترل صنعتی است. مرکز تخصصی آپا استانداردهای تعریف و اعمال این قوانین و سیاستها را مورد بررسی قرار داده و میتواند خدمات مشاورهای در این حوزه به مخاطبان خود ارائه کند.
- چگونگی بهکارگیری ابزارهای تشخیص ناهنجاری و مقابله با نفوذ: ابزارهای مختلفی در حوزه امنیت سیستمهای کنترل صنعتی موجود است که میتواند به منظور تشخیص نفوذ، گزارشگیری و مقابله با نفوذ مورد استفاده قرار گیرد. مرکز تخصصی آپا میتواند مشاورهی لازم به منظور روش انتخاب و چگونگی بکار گیری این ابزارها ارائه نماید.
خدمات مشاوره نگهداری و پشتیبانی امن
امنیت در سیستمهای کنترل صنعتی نه تنها در زمان طراحی و پیادهسازی، بلکه در زمان پشتیبانی و نگهداری سامانه نیز باید ادامه یابد. بهطور معمول شرکتهای سرویسدهنده در این حوزه، پشتیبانی از سامانه نصب شده را تنها محدود به رفع خرابی و یا اشکالات سیستم میدانند در حالی که پشتیبانی امنیتی مهمترین بخش پس از اتمام پیادهسازی و در زمان پشتیبانی به حساب میآید. مرکز تخصصی آپا دانشگاه صنعتی اصفهان به منظور پوشش نیازهای حوزهی نگهداری و پشتیبانی، خدمات زیر را ارائه میدهد.
- ارزیابی امنیتی: بسیاری از سامانههای نصب شده ممکن است دارای آسیبپذیریهایی باشند که مهاجمین میتوانند توسط آنها به شبکه نفوذ کرده، اطلاعات را به سرقت برده و یا اختلال ایجاد کنند. آسیبپذیریها ممکن است در معماری، تجهیزات، پیکربندی و یا موارد دیگر باشد. به همین منظور تیم فنی مرکز آپا دانشگاه صنعتی میتواند با حضور در سطوح مختلف مجموعه، ارزیابی امنیتی را انجام داده و آسیبپذیریهایی که ممکن است منجر به حادثه شوند را شناسایی کند.
- ممیزی امنیتی: مرکز تخصصی آپا با بهرهگیری از استانداردهای امنیتی جهانی سرفصلهای ممیزی امنیتی را در سیستمهای کنترل صنعتی تهیه کرده و بر مبنای آن نیازمندیهای امنیتی را بررسی میکند.
- ارزیابی تهدید: هرکدام از ابزارهای درحال استفاده در یک سیستم کنترل صنعتی دارای یک ارزش مشخص نسبت به نوع کارکرد، محدوده، وابستگی و موارد دیگر است که میتواند سطح تهدید آن را تعیین کند. همچنین با توجه به شرایط هر مجموعه میتوان تهدیدات پیش رو را پیشبینی کرده و راهکار های حفاظتی را در مقابل آنها اتخاذ کرد. مرکز تخصصی آپا با بهرهگیری از استانداردهای موجود جهانی میتواند این خدمت را به مخاطبان خود ارائه نماید.
- بررسی سیاستها و قوانین: سیاستها و قوانین موجود در هر ساختار ممکن است دارای نواقصی باشد که بهرهبرداری از آنها منجر به بروز حادثه در ساختارها گردد. مرکز تخصصی آپا بازبینی این قوانین را به منظور تدوین سیاستهای جامع امنیتی انجام میدهد.
- بررسی ناهنجاری: وجود ناهنجاری در سیستمهای کنترل صنعتی ممکن است ناشی از حملات سایبری باشد. مرکز تخصصی آپا دانشگاه صنعتی با دریافت این گزارشها و تحلیل آن میتواند وجود حمله و نوع آن را به همراه راههای تشخیص و مقابله با آن ارائه کند.
خدمات آموزشی
بهطور معمول اپراتورها و کارشناسانی که با سامانههای کنترل صنعتی تعامل دارند اطلاعات لازم امنیتی را جهت پیشگیری، تشخیص و مقابله با حوادث سایبری ندارند. از طرفی در شرکتهایی که در زمینهی طراحی و پیادهسازی شبکههای اتوماسیون صنعتی فعالیت دارند دانش کافی در زمینهی امنسازی این سامانهها وجود ندارد. مرکز تخصصی آپا با در اختیار داشتن دانش و تجربهی مناسب در زمینهی امنسازی و رسیدگی به حوادث شبکههای اتوماسیون صنعتی، برای انتقال دانش به مخاطبان پتانسیل بالایی دارد. این مرکز میتواند خدمات آموزشی، منابع و آموزشهای لازم را بهصورت حضوری و غیرحضوری در اختیار کارشناسان و اپراتورهای فعال قرار دهد تا بتوانند اقدامات لازم را به منظور امنسازی سامانههای موجود، طراحی و پیادهسازی سامانههای آتی و مقابله با بروز یک حمله سایبری انجام داده و در صورت بروز حمله سریعا آن را تشخیص دهند.